Oczyszczalnia Ścieków Toruń: Proces Technologiczny i Cyberbezpieczeństwo

Wzmożona liczba ataków na polskie oczyszczalnie ścieków i stacje uzdatniania wody zwraca uwagę na konieczność uwzględnienia cyberbezpieczeństwa w procesach technologicznych obiektów z branży wodno-kanalizacyjnej.

Poniższy artykuł ma na celu opisanie zapisów w publicznie dostępnych dokumentach przetargowych. Założeniem jest przedstawienie powszechnego zjawiska, nie zaś wskazanie potencjalnie odpowiedzialnych za dany stan rzeczy. Celem nie jest stygmatyzacja, lecz zwiększenie poziomu bezpieczeństwa w sektorze wodno-kanalizacyjnym.

Ataki na Sektor Wodno-Kanalizacyjny

Sektor wodno-kanalizacyjny wielokrotnie padał ofiarami ataków prorosyjskich haktywistów na przestrzeni ostatnich kilkunastu miesięcy. Wśród rodzajów obiektów, które padły ofiarami ataków inspirowanych ze wschodu, należy wyróżnić m.in.:

• stacje uzdatniania wody (Tolkmicko, Sierakowo, Małdyty, Szczytno, Jabłonna Lacka);
• oczyszczalnie ścieków (Kuźnica, Witkowo, Chodaczów).

Postanowiliśmy zajrzeć do dokumentacji przetargowej wybranych obiektów, aby wykazać, że zaatakowane jednostki nie uwzględniły rekomendacji od CERT Polska oraz Pełnomocnika Rządu. Należy zaznaczyć, że w przypadku omawianych obiektów, modernizacje miały miejsce przed opublikowaniem stosownych dokumentów oraz w zupełnie innej sytuacji pod kątem cyberzagrożeń.

Aby zwiększyć świadomość podmiotów odpowiedzialnych za stacje uzdatniania wody i oczyszczalnie ścieków, pragniemy opisać praktyki z dokumentacji przetargowych, które nie powinny się powtarzać w przyszłości.

Przeczytaj także: Przydomowe oczyszczalnie ścieków Zawiercie

Rekomendacje CERT Polska i Pełnomocnika Rządu

„W związku z poważnym zagrożeniem wzywamy podmioty posiadające systemy przemysłowe do podjęcia natychmiastowych działań i wprowadzenia opisanych poniżej rekomendacji” - takie zdanie, okraszone wyraźną czerwoną ramką, znalazło się w „Rekomendacjach dla wzmocnienia ochrony systemów OT” CERT Polska z 2024 roku, do których lektury serdecznie zachęcamy. Wśród rekomendacji CSIRT-u poziomu krajowego znalazło się m.in.:

• NIE NALEŻY umożliwiać bezpośredniego zdalnego połączenia z wykorzystaniem protokołów jak VNC czy RDP oraz oprogramowania zdalnego wsparcia technicznego.
• NIE NALEŻY umożliwiać bezpośredniego zdalnego dostępu do panelu WWW systemów sterowania i wizualizacji, nawet jeśli stosowane jest silne hasło.
• NIE NALEŻY udostępniać portów, na których działają protokoły przemysłowe - w szczególności umożliwiające konfigurację urządzenia.

Pod koniec lutego br. Pełnomocnik Rządu do spraw Cyberbezpieczeństwa, wicepremier Krzysztof Gawkowski, opublikował komunikat w sprawie ataków na przemysłowe systemy sterowania. „Co ważne, niektóre z tych ataków miały wpływ na rzeczywiste działanie systemów, a ich skutki odczuli odbiorcy usług. (…) Urządzenia przemysłowe często łączą się z internetem przez routery sieci komórkowych, a przypisane im adresy IP wskazują na operatorów sieci mobilnych, których karty SIM zostały użyte. W takim przypadku nie ma możliwości kontaktu z właścicielem systemu, można jedynie przekazać informacje do operatora telekomunikacyjnego” - stwierdzono w artykule na rządowej stronie.

Rekomendacje w dokumencie były bardzo pokrewne z apelem CERT-u, wspomniając m.in. o „stosowaniu VPN z wieloskładnikowym uwierzytelnianiem do zdalnego odczytu lub sterowania procesem” oraz zgłaszaniu incydentów do odpowiedniego CSIRT-u.

Rekomendujemy osobom opowiedzialnym za bezpieczeństwo urządzeń ICS/OT zapoznanie się z całością dokumentów.

Widoczność z Poziomu Internetu

Podczas analizy skupiliśmy się na trzech obiektach: SUW Jabłonna Lacka oraz oczyszczalniach ścieków w Witkowie i Chodaczowie. Co ważne, każdy z opisywanych dokumentów jest publicznie dostępny, lecz może nie być zaindeksowany przez wyszukiwarki internetowe (np. Google), ponieważ były to pliki PDF lub archiwa na platformach przetargowych.

Przeczytaj także: Oczyszczalnia oksydacyjna: zasady działania

Program Funkcjonalno-Użytkowy (PFU) SUW Witkowo, opublikowany podczas modernizacji stacji uzdatniania wody i centralnej przepompowni ścieków w Witkowie, zakładał poniższe elementy:

• zdalny dostęp do ekranów operatorskich z poziomu urządzeń mobilnych i stacjonarnych;
• automatyczne generowanie ekranów zdalnego dostępu na podstawie przygotowanej aplikacji wizualizacyjnej na panel operatorski HMI;
• wbudowane funkcje logowania oraz kontroli poziomu dostępu do zdalnych ekranów operatorskich.

Całe odwzorowanie graficzne procesu zamieszczone na ekranie sterownika, będzie dostępne do podglądu oraz do zmiany nastaw parametrów pracy stacji jako strona www. Do strony będzie mógł zalogować się każdy kto będzie posiadał dane dostępu. Do strony będzie można się zalogować z każdego miejsca podłączonego do Internetu.

Założenie, że „zmiana nastaw parametrów pracy jako strona www”, dostępna z każdego miejsca podłączonego do Internetu, jest wprost sprzeczne z rekomendacjami CERT Polska (pkt 2. przytoczonych zaleceń). Obecnie powinniśmy, oczywiście w miarę możliwości, starać się stosować dwuetapowe uwierzytelnianie czy wykorzystywać VPN-y (mowa o logowaniu do paneli). Wystawienie „na świat” takich urządzeń jest nierekomendowane i może stwarzać zagrożenie.

Raport Roczny CERT Polska „Od wielu lat monitorujemy niedostatecznie zabezpieczone pulpity zdalne. Mimo wysyłanych powiadomień regularnie dowiadujemy się o systemach, które zostają przejęte, czego przyczyną najczęściej jest wykorzystywanie prostego hasła. (…) Wybrano 5 haseł, które często stosowane są w urządzeniach przemysłowych, i za ich pomocą zweryfikowano zabezpieczenia 7806 serwerów VNC dostępnych w Polsce. W rezultacie udało się zidentyfikować 299 instancji o niedostatecznym poziomie zabezpieczeń. Wiele z nich umożliwiało dostęp do paneli kontrolnych takich obiektów, jak stacje uzdatniania wody, piece przemysłowe czy małe elektrownie wodne” - kwituje CERT.

Łączność z Wykorzystaniem GSM

SUW-y czy oczyszczalnie ścieków mogą znajdować się w miejscach, gdzie nie ma obecnie dostępu do szerokopasmowego łącza, opartego na światłowodach czy tradycyjnych „miedzianych kablach”. Wówczas można zastosować routery z kartami SIM. Niezmiennie ważne jest zachowanie przy tym odpowiednich praktyk z zakresu cyberbezpieczeństwa.

Przeczytaj także: Jak ustawić napowietrzanie?

„W przypadku gdy niezbędny jest zdalny przesył danych telemetrycznych za pomocą sieci komórkowej, rekomenduje się wykorzystanie prywatnych APN-ów” - stwierdzono w rekomendacjach CERT Polska z 2024 roku.

W „Opisie technicznym części technologicznej” przebudowy i rozbudowy SUW Jabłonna Lacka możemy znaleźć następujące stwierdzenia, dotyczące zapewnienia poniższych funkcjonalności:

• dostęp poprzez przeglądarkę internetową i wbudowany serwer WWW oraz system stron internetowych, pozwalający na przegląd bieżących danych procesowych, nastaw, komunikatów alarmowych bieżących i historycznych;
• zdalną zmianę nastaw poprzez system stron internetowych;
• zdalny dostęp do parametrów pracy urządzeń oraz graficznej interpretacji ich pracy (wizualizacji);
• (warunkowe - przyp. red.) podłączenie stacji do Internetu przez kartę SIM z uruchomioną usługą - statyczny, publiczny adres IP (Orange, T-Mobile, Plus GSM).

Podobnie jak w przypadku omawianego wcześniej obiektu, panel sterowania musiał być widoczny jako strona WWW - konieczne było zapewnienie ”zdalnej zmiany nastaw poprzez system stron internetowych”. Nie wskazano wprost sposobu uwierzytelniania.

Wystawienie Portu do Sieci

„Z naszych obserwacji wynika, że potencjalnie skompromitowane podmioty posiadały zasoby IT dostępne z publicznej sieci Internet, w tym panele HMI (ang. human machine interface - przyp. red.) sterujące procesami technologicznymi” - przekazała nam Agencja Bezpieczeństwa Wewnętrznego w październiku br.

W przypadku dokumentacji przetargowej oczyszczalni ścieków w Chodczowie, analizie poddano trzy dokumenty: szczegółową specyfikację techniczną wykonania i odbioru robót budowlanych, opis techniczny do projektu wykonawczego oraz projekt wykonawczy elektryki.

System wizualizacji procesu, stanu poszczególnych obiektów technologicznych zaprojektowany zostanie w oparciu o WEB SERWER oraz port Ethernet wbudowany w sterownik PLC. (...) Dla poprawności działania systemu konieczny jest stały dostęp do internetu. Realizacja dostępu do internetu możliwa jest poprzez system DSL ze stałym adresem IP, co wymaga linii telefonicznej na oczyszczalni, lub też wewnętrznej sieci ethernetowej w urzędzie gminy.

Dodatkowo projekt wykonawczy elektryki zakłada wyposażenie w „moduł GPRS z wizualizacją przez stronę WWW producenta, kartą SIM i dostępem do danych w okresie gwarancji” w ramach szafki sterowniczej.

Wizualizacja stanów procesów technologicznych nie powinna opierać się na „wystawieniu” do Internetu odpowiedniego portu, nawet przy stosowaniu „silnego hasła”, co opisało CERT Polska w swoich rekomendacjach.

Toruńskie Oczyszczalnie Ścieków

Toruńskie Wodociągi eksploatują trzy oczyszczalnie ścieków:

• Oczyszczalnię Ścieków "Centralną", Sz. Bydgoska 49,
• Oczyszczalnię "Czerniewice", ul. Spacerowa w Czerniewicach
• Oczyszczalnię "Rudak", ul. Rypińska.

Oczyszczalnia Ścieków "Centralna"

Oczyszcza ścieki z miasta Torunia (socjalno-bytowe, przemysłowe, wody infiltracyjne i opadowe) doprowadzane siecią kanalizacyjną oraz dowożone samochodami asenizacyjnymi, a także ścieki technologiczne z procesu oczyszczania. Jej maksymalna przepustowość wynosi 90 tys. m sześc. na dobę. Proces technologiczny składa się z trzech etapów: oczyszczania mechanicznego, oczyszczania biologicznego i przetwarzania osadów.

Oczyszczalnia Ścieków "Czerniewice"

Oczyszcza ścieki sanitarne z osiedla mieszkaniowego w Czerniewicach. Jej maksymalna przepustowość wynosi 553 m sześc. na dobę. Oczyszczalnia pracuje w oparciu o technologię dwufazowego osadu czynnego: denitryfikacja - nitryfikacja. Ścieki przepływają kolejno przez komorę anoksyczną i tlenową oraz osadnik wtórny. W komorze anoksycznej są prowadzone procesy biologicznej denitryfikacji - redukcji azotanów do wolnego azotu uwalnianego do atmosfery. W komorze nitryfikacyjnej następuje utlenianie organicznych związków węgla oraz utlenienie azotu amonowego i organicznego do azotanów. W osadniku wtórnym pionowym następuje ich sklarowanie. Zatrzymany osad czynny w leju osadowym wraz ze ściekami jest zawracany do komory denitryfikacyjnej. Ścieki oczyszczone odprowadzane są poprzez Kanał Brzoza do Wisły. Ustabilizowany tlenowo osad nadmierny jest wywożony w celu odwodnienia i utylizacji do oczyszczalni "Centralna" w Toruniu.

Oczyszczalnia Ścieków "Rudak"

Dopływają do niej ścieki bytowo-gospodarcze oraz wody infiltracyjne w ilości około 80 m sześc. Na dobę z terenu osiedla domków jednorodzinnych Spółdzielni Mieszkaniowej "Nowa". Po zrealizowaniu programu ISPA oczyszczalnia zostanie zlikwidowana. Praca oczyszczalni oparta jest na osadzie czynnym ze zmiennymi w czasie warunkami tlenowymi w pracujących naprzemiennie dwóch komorach napowietrzania z okresowym spustem oczyszczonych ścieków na koniec cyklu. Jest to tzw. metoda SBR, czyli sekwencyjny biologiczny reaktor. Ścieki oczyszczone odprowadzane są poprzez rów melioracyjny do rzeki Wisły.

Flotacja Ciśnieniowa

System oparto na metodzie flotacji ciśnieniowej. Rozwiązanie techniczne flotatora umożliwia pracę w trybie automatycznym i ręcznym. Ścieki podawane są ze zbiornika retencyjnego do flotatora, gdzie poddawane są obróbce chemicznej. Rozdział, powstałej w wyniku koagulacji, zawiesiny zanieczyszczeń oparty jest na metodzie flotacyjnej z zastosowaniem mieszaniny powietrzno-wodnej.

Flotator jest wyposażony w pompę saturacyjna, umożliwiającą napowietrzenie zawiesin, w wyniku czego następuje ich natychmiastowa dyfuzja na powierzchnię lustra wody. Stąd są mechaniczne zabieranie odpowiednimi zgarniaczami do zbiornika osadu. Praca flotatora jest monitorowana w trybie on line przez komputer. Podczas pracy oczyszczalni istnieje możliwość wizualizacji stanu urządzeń, obserwacji aktualnych wskazań oraz zdalnego ingerowania w przebieg zachodzącego procesu oczyszczania.

Program sterujący pracą flotatora umożliwia tworzenie trendów historycznych poszczególnych parametrów i ich analizę w formie tabelarycznej i graficznej. Zrealizowany flotator wykorzystał sposób wytwarzania mieszanki saturacyjnej w oparciu o hydrokawitacyjną pompę atmosferyczną.

Dzięki temu uzyskano znakomite parametry bez konieczności stosowania sprężonego powietrza i uciążliwych w eksploatacji mieszaczy ciśnieniowych podlegających dozorowi Urzędu Dozoru Technicznego.

Gospodarowanie Ściekami Przemysłowymi

Odpowiedzialne gospodarowanie ściekami przemysłowymi jest kluczowe dla ochrony środowiska i zdrowia mieszkańców Torunia. Zakłady przemysłowe muszą przestrzegać ściśle określonych norm dotyczących jakości odprowadzanych ścieków. Dotyczy to nie tylko rodzaju i stężenia substancji chemicznych, ale także sposobu ich usuwania i oczyszczania.

W Polsce jakość ścieków przemysłowych regulują przepisy prawa wodnego oraz rozporządzenia Ministra Środowiska. Każdy zakład przemysłowy jest zobowiązany do regularnego monitorowania jakości swoich ścieków oraz do prowadzenia dokumentacji potwierdzającej zgodność z obowiązującymi normami.

Wysokociśnieniowe Oczyszczanie Kanalizacji

Wysokociśnieniowe oczyszczanie kanalizacji odgrywa kluczową rolę w utrzymaniu sprawności systemów odprowadzania ścieków. Technologia ta polega na usuwaniu osadów, tłuszczów i innych zanieczyszczeń za pomocą wody pod wysokim ciśnieniem.

W Toruniu usługi wysokociśnieniowego oczyszczania kanalizacji oferują wyspecjalizowane firmy asenizacyjne takie, jak Jan Kan Sp. z o.o., które dysponują nowoczesnym sprzętem oraz doświadczoną kadrą.

Obowiązki Zakładów Przemysłowych

Zakłady przemysłowe w Toruniu mają nie tylko obowiązek przestrzegania norm prawnych, ale także odpowiedzialność wobec lokalnej społeczności. Niewłaściwe gospodarowanie ściekami może prowadzić do skażenia wód powierzchniowych i gruntowych, co zagraża zdrowiu mieszkańców oraz przyrodzie. Przykładem takich działań jest stosowanie biologicznych oczyszczalni ścieków, które wykorzystują naturalne procesy rozkładu zanieczyszczeń.

Przestrzeganie standardów dotyczących jakości ścieków odprowadzanych przez zakłady przemysłowe w Toruniu ma kluczowe znaczenie dla ochrony środowiska i zdrowia mieszkańców. Wysokociśnieniowe oczyszczanie kanalizacji odgrywa istotną rolę w utrzymaniu sprawności systemów odprowadzania ścieków oraz w minimalizacji ryzyka awarii.

Dzięki zastosowaniu nowoczesnych technologii zakłady przemysłowe mogą nie tylko spełniać wymogi prawne, ale także przyczyniać się do poprawy jakości życia w lokalnej społeczności.

Rekomendacje

Serdecznie zachęcamy do zapoznania się z rekomendacjami CERT Polska i Pełnomocnika Rządu ds. Cyberbezpieczeństwa, wicepremiera Gawkowskiego.

Warto dodać, że omawiane dokumenty zazwyczaj były tworzone przez zewnętrzne podmioty, niezależne od administracji publicznej. Tam, gdzie to możliwe zdalny dostęp powinien być realizowany na żądanie.

Niestety w wielu przypadkach urządzenia przemysłowe podłączone są do internetu przez routery komórkowe, których adres IP wskazuje na operatora komórkowego, którego karta SIM została użyta.

Osoby, które chcą się z nami anonimowo skontaktować, zapraszamy do formularza w zakładce „Kontakt” (u dołu strony).

CERT Polska, Rekomendacje OT, maj 2024

tags: #oczyszczalnia #sciekow #torun #proces #technologiczny

Popularne posty:

• HB Nawilżacze Powietrza: Przegląd
• Skuteczność sportowego filtra w Skodzie 105/120
• Poradnik: Filtr powietrza Skoda Superb 2
• Wymiary uszczelek pokrywy filtra MZ ETZ 150/250
• Opinie o osuszaczu Robmex